Virtual Private Cloud (VPC)
Virtual Private Cloud (VPC) 是您的 AWS 帳戶所專用的虛擬網路。其在邏輯上與 AWS 雲端的其他虛擬網路隔離。您可以在您的 VPC 中啟動 AWS 資源 (例如 Amazon EC2 執行個體)。
內容
VPC 基本概念
在您建立 VPC 時,必須以無類別網域間路由 (CIDR) 區塊的格式,為 VPC 指定 IPv4 地址的範圍。例如,10.0.0.0/16。這是您 VPC 的主要 CIDR 區塊。如需更多詳細資訊,請參閱 IP 定址。
VPC 遍及整個區域內的所有可用區域。下圖顯示了新的 VPC。建立 VPC 之後,您可以在各個可用區域新增一個或多個子網。如需更多詳細資訊,請參閱 您 VPC 的子網。
VPC CIDR 區塊
Amazon VPC 支援 IPv4 和 IPv6 地址。VPC 必須具有與之建立關聯的 IPv4 CIDR 區塊。您可以選擇將多個 IPv4 CIDR 區塊和多個 IPv6 CIDR 區塊與 VPC 建立關聯。若需 IP 定址的詳細資訊,請參閱 IP 定址。
IPv4 VPC CIDR 區塊
在您建立 VPC 時,您必須指定 VPC 的 IPv4 CIDR 區塊。允許的區塊大小介於 /16 網路遮罩 (65,536 個 IP 地址) 和 /28 網路遮罩 (16 個 IP 地址) 之間。在您建立 VPC 之後,您可以將其他 IPv4 CIDR 區塊與 VPC 建立關聯。如需更多詳細資訊,請參閱 將其他 IPv4 CIDR 區塊與 VPC 建立關聯。
當您建立 VPC 時,我們建議您指定來自 RFC 1918
| RFC 1918 範圍 | CIDR 區塊範例 |
|---|---|
| 10.0.0.0 ‒ 10.255.255.255 (10/8 字首) | 10.0.0.0/16 |
| 172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首) | 172.31.0.0/16 |
| 192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首) | 192.168.0.0/20 |
某些 AWS 服務會使用 172.17.0.0/16 CIDR 範圍。為避免將來發生衝突,請勿在建立 VPC 時使用此範圍。例如,如果 172.17.0.0/16 IP 地址範圍已在網路中的任何位置使用,則諸如 AWS Cloud9 或 Amazon SageMaker 之類的服務可能會遇到 IP 地址衝突。如需詳細資訊,請參閱《AWS Cloud9 使用者指南》中的無法連接到 EC2 環境,因為 VPC 的 IP 地址已由 Docker 使用。
您可以建立具有可公開路由 CIDR 區塊的 VPC,而此 CIDR 區塊不在 RFC 1918 所指定的私有 IPv4 地址範圍內。不過,基於本文件的用途,我們會將私有 IP 地址參照為您 VPC 之 CIDR 範圍內的 IPv4 地址。
在您建立 VPC 以與 AWS 服務搭配使用時,請檢查服務文件,確認其組態是否有特定需求。
如果您使用命令列工具或 Amazon EC2 API 建立 VPC,CIDR 區塊會自動修改為其正式形式。例如,如果您為 CIDR 區塊指定 100.68.0.18/18,我們會建立一個範圍為 100.68.0.0/18 CIDR 區塊。
管理 VPC 的 IPv4 CIDR 區塊
您可以將輔助 IPv4 CIDR 區塊與您的 VPC 建立關聯。當您將 CIDR 區塊與您的 VPC 建立關聯時,會自動將路由新增至您的 VPC 路由表,以啟用 VPC 內的路由 (目標為 CIDR 區塊,方向則是 local)。
在下列範例中,VPC 具有主要 CIDR 區塊及次要 CIDR 區塊。子網 A 和子網 B 的 CIDR 區塊來自主要 VPC CIDR 區塊。子網 C 的 CIDR 區塊來自次要 VPC CIDR 區塊。
下方的路由表顯示了 VPC 的本機路由。
| 目標 | 目標 |
|---|---|
| 10.0.0.0/16 | 區域 |
| 10.2.0.0/16 | 區域 |
若要將 CIDR 區塊新增到您的 VPC,將套用下列規則:
-
允許的區塊大小介於
/28網路遮罩和/16網路遮罩之間。 -
CIDR 區塊不可和任何現有與 VPC 相關聯的 CIDR 區塊重疊。
-
您可以使用的 IPv4 地址範圍有所限制。如需詳細資訊,請參閱 IPv4 CIDR 區塊關聯限制。
-
您無法增加或減少現有 CIDR 區塊的大小。
-
您可以與 VPC 建立關聯的 CIDR 區塊數,以及您可以新增到路由表的路由數皆具有配額。如果會導致您超過配額,便無法與 CIDR 區塊建立關聯。如需詳細資訊,請參閱 Amazon VPC 配額。
-
CIDR 區塊不可和任何 VPC 路由表中路由的目的地 CIDR 範圍相同,或大於該範圍。例如,在主要 CIDR 區塊所在的 VPC 中
10.2.0.0/16,路由表中有一個現有的路由,其目的地10.0.0.0/24為虛擬私有閘道。您想要關聯10.0.0.0/16範圍中的次要 CIDR 區塊。由於現有的路由,您無法關聯10.0.0.0/24或更大的 CIDR 區塊。但是,您可以與10.0.0.0/25或更小的 CIDR 區塊建立關聯。 -
若您為 ClassicLink 啟用 VPC,您可以與介於
10.0.0.0/16和10.1.0.0/16範圍之間的 CIDR 區塊建立關聯,但您無法與任何來自10.0.0.0/8範圍的其他 CIDR 區塊建立關聯。 -
下列規則會在您將 IPv4 CIDR 區塊新增到做為 VPC 對等互連連線一部分的 VPC 時套用:
-
若 VPC 對等互連連線為
active,只要它們不會和對等 VPC 的 CIDR 區塊重疊,您便可以將 CIDR 區塊新增到 VPC。 -
若 VPC 對等互連連線為
pending-acceptance,則申請者 VPC 的擁有者便無法將任何 CIDR 區塊新增到 VPC,無論其是否與接受者 VPC 的 CIDR 區塊重疊。接受者 VPC 的擁有者必須接受對等互連連線,否則申請者 VPC 的擁有者必須刪除 VPC 對等互連連線請求、新增 CIDR 區塊,然後請求新的 VPC 對等互連連線。 -
若 VPC 對等互連連線為
pending-acceptance,則接受者 VPC 的擁有者可將 CIDR 區塊新增到 VPC。若輔助 CIDR 區塊與申請者 VPC 的 CIDR 區塊重疊,則 VPC 對等互連連線會失敗,無法獲得接受。
-
-
若您使用 AWS Direct Connect 透過直接連線閘道連線到多個 VPC,則與 Direct Connect 閘道相關聯的 VPC 不可擁有重疊的 CIDR 區塊。若您將 CIDR 區塊新增到其中一個與 Direct Connect 閘道建立關聯的 VPC,請確認新的 CIDR 區塊不會和任何其他相關聯 VPC 的現有 CIDR 區塊重疊。如需詳細資訊,請參閱《AWS Direct Connect 使用者指南》中的 Direct Connect 閘道。
-
當您新增或移除 CIDR 區塊時,它可能會經過多種狀態:
associating|associated|disassociating|disassociated|failing|failed。當其處於associated狀態時,表示 CIDR 區塊已準備好可供您使用。
您可以取消關聯您已和 VPC 建立關聯的 CIDR 區塊;但是,您無法取消關聯您一開始用來建立 VPC (主要 CIDR 區塊) 的 CIDR 區塊。若要在 Amazon VPC 主控台中檢視 VPC 的主要 CIDR,請選擇 Your VPCs (您的 VPC),接著選取 VPC 的核取方塊,然後選擇 CIDRs 標籤頁。若要檢視使用 AWS CLI 的主要 CIDR,請使用 describe-vpcs 命令,如下所示。主要 CIDR 會在頂層 CidrBlock element 中傳回。
aws ec2 describe-vpcs --vpc-idvpc-1a2b3c4d--query Vpcs[*].CidrBlock
下列為範例輸出。
[
"10.0.0.0/16",
]IPv4 CIDR 區塊關聯限制
下表概述了允許和受限 VPC CIDR 區塊關聯。造成限制的原因是某些 AWS 服務會使用跨 VPC 和跨帳戶功能,這些功能需要 AWS 服務端沒有發生衝突的 CIDR 區塊。
| IP 地址範圍 | 受限制的關聯 | 許可的關聯 |
|---|---|---|
|
10.0.0.0/8 |
來自其他 RFC 1918* 範圍 (172.16.0.0/12 及 192.168.0.0/16) 的 CIDR 區塊。 如果與 VPC 關聯的任何 CIDR 區塊位於 10.0.0.0/15 範圍 (10.0.0.0 至 10.1.255.255) 內,您便無法新增來自 10.0.0.0/16 範圍 (10.0.0.0 至 10.0.255.255) 的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。 |
任何其他來自 10.0.0.0/8 範圍,未受限制的 CIDR 區塊。 任何可公開路由的 IPv4 CIDR 區塊 (非 RFC 1918),或是來自 100.64.0.0/10 範圍的 CIDR 區塊。 |
|
172.16.0.0/12 |
來自其他 RFC 1918* 範圍 (10.0.0.0/8 及 192.168.0.0/16) 的 CIDR 區塊。 來自 172.31.0.0/16 範圍的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。 |
任何其他來自 172.16.0.0/12 範圍,未受限制的 CIDR 區塊。 任何可公開路由的 IPv4 CIDR 區塊 (非 RFC 1918),或是來自 100.64.0.0/10 範圍的 CIDR 區塊。 |
|
192.168.0.0/16 |
來自其他 RFC 1918* 範圍 (10.0.0.0/8 及 172.16.0.0/12) 的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。 |
任何其他來自 192.168.0.0/16 範圍的 CIDR 區塊。 任何可公開路由的 IPv4 CIDR 區塊 (非 RFC 1918),或是來自 100.64.0.0/10 範圍的 CIDR 區塊。 |
|
198.19.0.0/16 |
來自 RFC 1918* 範圍的 CIDR 區塊。 |
任何可公開路由的 IPv4 CIDR 區塊 (非 RFC 1918),或是來自 100.64.0.0/10 範圍的 CIDR 區塊。 |
|
可公開路由的 CIDR 區塊 (非 RFC 1918),或是來自 100.64.0.0/10 範圍的 CIDR 區塊 |
來自 RFC 1918* 範圍的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。 |
任何其他可公開路由的 IPv4 CIDR 區塊 (非 RFC 1918),或是來自 100.64.0.0/10 範圍的 CIDR 區塊。 |
* RFC 1918 範圍是 RFC 1918
IPv6 VPC CIDR 區塊
您可以在建立新 VPC 時,將單一 IPv6 CIDR 區塊與帳戶中的現有 VPC 建立關聯,或者透過修改現有 VPC 來關聯最多五個區塊。CIDR 區塊是 /56 的固定前綴長度。您可以從 Amazon 的 IPv6 地址集區中申請 IPv6 CIDR 區塊。如需更多詳細資訊,請參閱 將 IPv6 CIDR 區塊與 VPC 建立關聯。
若您已將 IPv6 CIDR 區塊與您的 VPC 建立關聯,您可以將 IPv6 CIDR 區塊與您 VPC 中的現有子網,或是在您建立新的子網時建立關聯。如需更多詳細資訊,請參閱 IPv6 的子網規模。
例如,您建立 VPC,並指定您希望將 Amazon 提供的 IPv6 CIDR 區塊與 VPC 建立關聯。Amazon 會指派下列 IPv6 CIDR 區塊給您的 VPC:2001:db8:1234:1a00::/56。您不能自行選擇 IP 地址的範圍。您可以建立子網,並關聯來自此範圍的 IPv6 CIDR 區塊;例如:2001:db8:1234:1a00::/64。
您可以取消 IPv6 CIDR 區塊與 VPC 的關聯 在您將 IPv6 CIDR 區塊與 VPC 取消關聯後,若您在稍後重新將 IPv6 CIDR 區塊與 VPC 建立關聯,您無法預期取得相同的 CIDR。
